TW200942058A - Identification and access control of users in a disconnected mode environment - Google Patents
Identification and access control of users in a disconnected mode environment Download PDFInfo
- Publication number
- TW200942058A TW200942058A TW098104063A TW98104063A TW200942058A TW 200942058 A TW200942058 A TW 200942058A TW 098104063 A TW098104063 A TW 098104063A TW 98104063 A TW98104063 A TW 98104063A TW 200942058 A TW200942058 A TW 200942058A
- Authority
- TW
- Taiwan
- Prior art keywords
- mobile device
- token
- mode
- authentication
- provider
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
Description
200942058 六、發明說明: 【發明所屬之技術領域】 本發明概略關於在一行動環境中的存取控制。 【先前技術】 一「行動裝置」為任何的無線客戶端裝置,例如行動電 話、呼叫器、個人數位助理、具有一智慧型電話客戶端的 〇 行動電腦或類似者。一種典型行動裝置為一種可使用無線 存取協定(WAP,“Wireless access protocol”)的裝置,其能夠 以無線的方式傳送資料到一連接網路或自其接收資料。 WAP支援多種無線網路,且其可利用許多掌上型裝置作業 系統操作。基本上,可使用WAP裝置使用圖形化顯示器, 並可在所謂的迷你或微型瀏覽器上存取網際網路(或其它 通訊網路)’其為具有小檔案尺寸之網頁瀏覽器,其可容納 掌上型裝置之減少的記憶體限制,及一無線網路之低頻寬 ® 限制。一種典型行動裝置為行動電話,其在GPRS(通用封 包無線電服務,General Packet Radio Service”)上操作,其 為一種GSM網路的資料技術。除了習用語音通訊之外,一 •給定行動裝置可透過許多不同種類的訊息傳送技術來與另 一個這種裝置進行通訊,其中包括SMS(簡訊服務,“Sh〇rt message service”)' 加強的 SMS(EMS,“Enhanced sms”)、 多媒體訊息(MMS,“Multi-media message”)、電子郵件 WAP、呼叫或其它已知的無線資料格式。行動裝置做為該 4 200942058 端裝置用於更夕的「線上」式活動,例如劉覽該網際 網路、檢查電子郵件、樓案τ載及類似者。行動裝置的使 :亦被延伸來支援更多的本地化活動,例如購買產品或服 務之收費(例如來自自動販賣機、加油機或類似者),或做 為-客戶端近接裝置(例如開啟車庫門、存取一實體場地或 上鎖的容器及類似者 【發明内容】 本發月在此提供在-識別提供商無連接模式環境中一 終端使用者行動裝置之辨識與存取控制,其概略代表在一 行動環境中-行動裝置與-識別提供商無連接或是不能夠 連接至-識別提供商的狀況。在一具體實施例中,本發明 方法提供該行動裝置-,,長期’,代符,其為回應於該使用者 之識別提供商的認證而自一提供商(例如一識別提供商)取 得的代符,且其用於實施識別及權利確立到其它方。如所 熟知者,認證為驗證一使用者的識別之程序。由該識別提 供商提供的長期代符基本上為一「單一簽入」(ss〇,“single sign-on”)代符,其用於確立該使用者的認證識別(及/或關聯 的屬性)給服務提供商夥伴,其t此代符在一給定時段内為 有效。在該時段期間,該識別提供商可進入一無連接模式; 但是,該行動裝置之使用者藉由呈現該認證/單一簽入(及 自一信任的個體接收一可接受回應)的長期代符來取得一 識別提供商輔助的功能(例如存取到一設施,存取到一資 5 200942058 源,購買一給定產品或服務,訂購一服務或類似者)。 特別是’根據一具體實施例,當一行動裝置被開啟,且 mrr識別提供商’該識別提供商提供該行動 接模二識別提供… ❹ 及存取到服務一識別提 ==提供商,但此並非必要。較佳地是,該代 在該行動裝置之-永久資料舖中。該代符的持績時 設定成多種時間框架’例如一天、一周或類似者。 值連同「在第-曰時間之前不使用」 丄 與時間之後不使用」值所定義。此識 供=商代符在當該使用者/行動裝置需要提供一識別提 、'符(或同等者)做為一識別提供商無連接模式作業的 「P份時由該仃動裝置所使用。此代符有時候在此稱之為 ,期」代符來對比於當該行動裝置在當時未連接至該識 別提供商之時段期間係(理論上>想要來m 胃 :戈符當該仃動裝置在連接模式下運作時並未使用,即當該 订動裝置連接至該識別提供商時。在連接模式中,該應用 程式基本上能夠利用該網路來自該識別提供商請求一新代 符例如因應清求為了於一適當連接的應用程式處使用而 產生&識別提供商無連接模式中使用的長期代符不會關 聯於相同層級的描4|丨 ’其具有在連接模式中產生及使用之 一次使用的代符。 §長期」代符可由該識別提供商以任何便利方式所產 生雖然並非限制,較佳地是該識別提供商係實施成一種 200942058 服務,其k供識別資訊到一所謂的 其它個體,其為一種環境中一…盟」運算_的 種環境中組不同個體(例如企業、组 織、機構及類似者)協同來提供一單— Μ & 资入、容易使用的經 驗給使用者。一結盟環境不同於一典型的單一簽入環境, 其中兩個企業不需要具有一直接、 且伐頂先建立的關係來定義 ❹ 對於-使用者如何傳送資訊,及傳送哪些資訊。在一蜂盟 環境令,個體提供處理認證使用者之服務,接收由其它個 體所呈現的認證/單一簽入確立(例如認證/單—簽入代 符),並提供某種該對使用者之擔保的識別之轉釋成為可在 該本地個趙内瞭解者。當該識別提供商為—結盟環境的一 部份時,該代符由一個體所產生’例如一安全代符服務眺 “secu吻T〇kenServiee,,)。— STS基本上能夠接收及驗證 許多不同認證憑證,其包括傳統憑證,例如使用者名稱與 密碼組合及Kerberos票證,以及結盟認證代符格式,其中 包括由一第三方產生的認證代符。 根據本發明内容之另一種特徵,一個體,例如安全代符 服務(STS),其能夠在一給定事件時發信該長期代符的取 消,例如在收到一通知一使用者的行動裝置已經失竊或是 遺失時。&可耗該裝置不能夠用於在識別提供商無連接 模式下進行一行動裝置辅助功能,π不需要該授權的使用 者之授權或同意’其由提供一新的、未取消的長期代符給 該行動裝置所指明。 前述已經略述本發明一些更為適切的特徵。這些特徵必 須視為僅為例示性。許多其它有利的結果可由用不同方式 200942058 應用所揭示之發明或藉由修改將描述之該發明所得到。 【實施方式】 第1圖所示為在其中可實施本發明之已知的無線裝置 #作環境。在-代表性具體實施例中,—行動裝置⑽可 經由一傳輸功能104連接(基本上透過WAp)至一識別提供 商/sts102。傳輸功能1〇4將根據實施而改變。因此例如, ❹當該無線裝置運作環境為一廣域無線網路(例如25g網 路)’例如第二圖所示之傳輸功㉟1〇4 &含_或多個組件, 像是:一行動交換中心(MSC,“Mobile switching center”) 200 (—加強的ISDN交換器,其負貴行動用戶之電話處 理)、一訪客位置暫存器(VLR,“ Visit〇r 1〇cati〇n register")202(—智慧型資料庫,其以暫時性基礎儲存管理 呼叫設定之資料,或由註冊VLR之行動裝置接收)、一家 庭位置暫存器(HLR,“Home location register’’)204(負責管 ® 理每個用戶的記錄之智慧型資料庫)、一或多基地台206(每 一者為一 BS)(其提供與一細胞之無線電覆蓋)、一基地台控 制器(BSC, “Base station controller,’)208(—交換器,其做為 流量之本地集中器’並提供本地交換來進行基地台之間的 交遞)、及一封包控制單元210(PCU,“Packet contr〇l unit”)( 一區分來自一行動裝置之資料流量的裝置)e HLR 204亦控制關聯於進入呼叫的某些服務。該行動裝置為一 用戶使用的實體設備。基本上,一行動裝置300,例如第3 200942058 圖所示,包括一用戶識別模組(SIM,“Subscriber identity module”)3 02、其為一承載用戶特定資訊之智慧卡、行動設 備304(例如無線電及相關的信號處理裝置)、一人機介面 (MMI, “Man-machine interface”)306、及一或多種到外部裝 置之介面308 (例如電腦、PDA及類似者)。該行動裝置亦 可包括一資料舖。請回頭參照第2圖,在一典型「連接模 式」使用方案中,該行動裝置連接至一基地台(BS,“Base station”)。多個基地台連接到基地台控制器(BSC)。HLR 204 ® 基本上管理認證,且控制關聯於進入呼叫的某些其它服 務。語音流量自BSC傳送到該行動裝置。PCU區分來自該 行動裝置之資料流量。資料(相對於語音)流量由該操作者 之無線資料網路所管理。因此例如,基本上該資料流量進 入到一提供 GPRS 服務節點(SGSN,“Serving GPRS Service Node”)212。一業者的網路基本上具有多個 SGSN。SGSN 藉由查詢該HLR認證行動使用者。SGSN 212亦管理資料 @ 流量,且其在該業者的GPRS網路上導引資料流量到一閘 道器 GPRS 服務節點(GGSN,“Gateway GPRS Service Node”)214。GGSN 214為一邊界路由器,其導引來回GPRS 網路之流量到公用網際網路。當一使用者移動橫跨細胞 時,該使用者成為關聯於不同的SGSN。SGSN負責管理該 使用者的行動性。 第4圖所示為當該網路為一無線區域網路中該傳輸功 能的替代具體實施例。一典型的無線LAN被佈署成一「熱 點」(HOTSPOT),其中行動裝置使用者被預期會常去。一 9 200942058 種簡單的熱點佈署基本上包含一無線LAN 802.1 1式存取 點(AP,“Access P〇int,,)400’ 且基本上在 DSL,T1 或專線 4〇2 上提供連接性到網際網路。一較大型佈署可以包含透過乙 太網交換器及一路由器(共同顯示為參考編號4〇4)將多個 存取點連接到該公用網際網路,其基本上是在τι或專線 406之上進行。該等熱點基本上由無線isp或無線系統整 合商來管理及運作《具有膝上型電腦或pDA之8〇2 11式 〇 網路介面卡(NIC,“Network interface card”)之使用者使用 802.1 1無線網路來存取網際網路。 如此處所使用者,一「行動裝置」為任何既有的行動裝 置或下一世代近接裝置,其能夠經由一無線傳輸連接至一 網路。更概s之,且為了下述的目的,一行動裝置可被一 般化為任何與該網路「無連接」的裝置;因此,其有時候 在此稱之為「無連接裝置」。 請回頭參照第1圖,行動裝置1〇〇在一第一通訊頻道 ® ι〇8上連接至該網路。此連接實施一運作的連接模式,其 為先前技藝中所熟知。在此模式中,該行動裝置可存取一 或多個内部應用程式110,其可在一或多部機器上執行, 其代表該網路提供商提供一或多種服務。另外,行動裝 置1〇〇可在該網路(再一次其為在一連接模式)上連接至一 或夕個第三方應用程式112。-信任代理人115直接提供 一認證服務到識別提供商/STS 102,或間接提供到第三方 • 12,例如經由關聯於該第三方應用程式之sts 1 14。亦如第1圖所示,行動裝置100可連接至一無連接應 200942058 用程式116,其基本上透過一非WAP式的方法(例如 Bluetooth,IR式通訊及類似者),以提供一運作的「無連接 模式」》此連接係在一第二通訊頻道118上,本技藝專業
人士之一將可瞭解到頻道108與118可為一個及相同,其 例如根據在一給定時間該網路連接性之可用性。行動裝置 100在當該裝置透過第一頻道1〇8被連接或可連接至一連 接的應用程式時即可視為在「連接」模式下運作,且該裝 置在當該裝置透過第一頻道1〇8未連接或不可連接至一連 接的應用程式但另可透過第二㈣118可連接至無連接應 用程式11〇時即可視為在「無連接」模式下運作。一 sts 12〇 關聯於無連接的應用程式110。 更概言之,一行動裝置亦可視為與該識別提供商本身為 -「無連接」帛式下運作。在此例中,該行動裝置可視為 在-「識別提供商無連接模式」下運作。此模式可發生在 當該行動裝置與-網路無連接時’或即使該行動裝置㈣ 連接至該網路時。後者之範例為當該行動裝置連接至一矣 路但不能夠存取該識別冑供商時。因此在一具體實則 中’一朗提供商無連制式亦包括該方案,其中該行讀 裝置維持互連接,但移動到一不同網路提供商,其中並巧 允許存取到該識別提供商。 如此處所使用者,r無遠垃庙 ,、、運接應用程式」110為一電腦程 式’程序或模組,或這歧组杜 一組件的組合,其可提供一給定功 能,例如提供存取到一設旛 又施,提供存取到一資源,進行購 買一給定產品或服務,据供 权供訂購一服務或類似者。該無連 200942058 接應用程式可在一單一機器或裝置上執行,或其可分佈橫 跨多。p機器、裝置、程式、程序、執行緒或類似者。 可提供<4證,其可單獨或結合於一或多個其它個體或裝 置。如所熟知者,認證為驗證—個人之識別的程序。如此 處所使用,認證可包括授權’其為驗證一已知的個人具有 授權來執行某一作業的程序。
根據-具體實施例’且如第5圖所示,該行動裝置使用 者自-給定識別提供商/STS5〇2取得一「長期」代符5〇5, 例如當行動裝S 500經由傳輸功能5〇4連接至該網路時。 代符505可用於進行識別及權利確立到其它方。概言之, 該代符係用於確立該使用者驗證的識別(即/或_的°屬性) 到服務提供商夥伴4本上,該代符係、在當該行動裝置被 開啟(或當該裝置漫遊到該網路的覆蓋範圍内)且該使用者 認證到該識㈣供商時來提供。此時,識別提供商觸5〇2 提供該代符到行動裝置500,其然後儲存該代符在與其相 關聯的-資料舖中。較佳地是,該代符在當該行動裝置在 一識別提供商無連接模式環境中運作時取得認證(或另外 確立該使用者的認證之識別)。該代符的持續時間可被設定 成多種時間框架,例如一天、一周或類似者。視需要,該 時間框架T由「在第一日期與時間之前不使用」值連同「在 第二日期舆時間之後不使用」值所定義。-政策可關聯於 該代符。一或多個屬性可關聯於一給定政策,以提供該代 符的有效性之良好的微細控制。如本技藝專業人士所瞭 解,該代符在當該行動裝置需要提供一代符(或同等者)來 12 200942058 結合某種識別提供商無連接模式作業認證其自己時由行動 裝置5 00所使用。此代符有時候在此處稱之為「長期」代 付以相對於其在當該行動裝置接著未連接至該識別提供商 時於時段_ (理論上)可以使用。基本上,該代符當該行 動裝置在連接模式下運作時並未使用,即當該行動裝置連 接至該識別提供商時。在連接模式中,該應用程式基本上 能夠利用該網路來向該識別提供商請求一新代符,例如因 φ 應請求時間,為了用於該適當連接的應用程式時所產生 者。如此處所述用於識別提供商無連接模式下的代符可以 不相關聯於相同的權利層級,如具有在一連接模式下所產 生及使用之一次使用代符。 請參照第6圖,一傳訊圖被提供來例示該長期代符之典 型應用例。該等相關個體示於圖面上方,且它們包括行動 裝置600、識別提供商/STS 602、無連接的應用程式6〇4、 無連接應用程式之關聯的STS 606、及一信任代理人6〇8。 〇 無連接應用程式604及相關的STS 606可為整合或分散 式。由圖面上方開始並往下走,其可看出行動裝置6〇〇首 先認證到識別提供商/STS 602來建立一會期。然後行動裝 置600做出一請求到識別提供商/STS 602以要求一長期代 符’其接著由識別提供商/STS 602傳回。現在,假設該行 動裝置在識別提供商無連接模式下運作《此時,該行動敦 置(且特別是一些在其上可執行的程式或程序)進行一資源 請求到無連接應用程式604。該長期代符被包括於或另關 聯於此資源請求。如上所述’該「資源請求」必須廣義地 13 200942058 = 何種類的存取、使用或其它請求,其係根據該
無連接應用程式所提供的功能而定。在回應上,且根據所 需要的信任關係,無連接應用程式6〇4進行一請求來驗證 該代符到T列之—:無連接應絲式的本身STS 6G6,或另 外到k任代理Α 6〇8。在前例中,驗證基本上被限於對於 所呈現之代符上任何數位簽章或簽章的STs 6〇6之驗證。 當該行動裝置僅基於此數位簽章之驗證做為一近接解決方 案之-部份時為一典型的使用方案。為此目的,於該驗證 作業期間,無連接的應用程式之STS⑽僅操取一識別, 並用一已知方式執行一習用的數位簽章檢查。 另外,亦如所示,無連接應用程式6〇4可直接呈現該代 符到信任代理人608 ^基本上,該信任代理人為一第三方 個體,其能夠驗證數位簽章以及執行一或多種其他檢查, 例如在關聯於該數位簽章之任何數位憑證上的證明廢止列 表(CRL,“Certificate revocation list”)檢查。在後者案例 中,該無連接的裝置基於有能力提供更為先進的代符驗證 而做為更為廣泛近接解決方案之一部份(例如存取到一雇 主的%所及/或該等場所内特定區域)。此方案亦基於與代 符發行商602的信任關係支援較低價值的交易(例如自一自 動販賣機購買一物品),並期待該發行商將尊重該請求。 特別是,如第6圖之傳訊圖面的下方部份所示,該信任 代理人藉由發出一明確驗證請求到STS 606,傳送自無連 接應用程式604接收的該代符來與該原始代符發行商(識別 提供商/STS 606)進行互動。在此例中,該代符發行商在傳 200942058 回給信任代理人608關於該裝置與該裝置使用者的狀態之 更為詳細資訊之前執行額外的檢查(例如為實際無連接的 該行動裝置為了某種理由而將該裝置關閉,或類似者此 方案允許較高價值/較高安全性需求交易,當該長期代符之 發行商(識別提供商/STS 602)被聯繫來提供該代符之驗證 (自無連接應用程式604接收)以及擁有該代符之使用者/裝 置的驗證。此功能基於知道該識別提供商/STS已經被聯繫 來在呈現該代符之請求的内文中驗證該代符而支援較高價 ® 值的交易(例如購買汽車用燃料)。 本發明之好處在於其不需要該行動裝置本身產生該代 符。在一替代具體實施例中,該無連接的裝置可參與該代 符的產生,但基本上此狀況並不會發生。因此在一具體實 施例中’該無連接應用程式與該行動裝置之間的信任關係 被限於呈現該代符的該頻道。如果需要的話,一更有意義 的信任關係僅需要存在於該識別提供商/STS及該信任代理 ❹ 人之間,或是在該信任代理人與該無連接應用程式之間。 如此處所使用者,該代符由一識別提供商/STS機制所 發行;但是此並非限制。更概略而言,本發明想像該代符(或 更概略而s為進行認證之資料字串)由任何發行裝置或發 行商所提供。 雖然並非要限制,本發明可實施在一結盟的異質運算環 境之内文中’例如在2004年7月21日立案的美國申請案 編號2006/0021018所述。如此處所述,一結盟的異質環境 允許企業提供一單一簽入經驗給使用者。在這種環境下, 15 200942058 一使用者能夠認證到一第一領域,然後使該第一領域提供 該適‘確立到可包括在一交易中的每個下游領域。這些下 游領域需要能夠瞭解及信任認證確立及/或其它種類的確 立,即使在該第一領域與這些其它下游領域之間沒有預先 建立的破立格式。除了辨識該等確立之外,該等下游領域 需要能夠轉譯包含在一確立内的該識別成為代表在一特定 領域内該使用者之識別,即使沒有預先建立的識別對映關 係。 ❹ 一結盟為一組不同的個體,例如企業、組織、機構等, 其協同來提供一單一簽入、簡易使用的經驗給一使用者; 一結盟環境不同於一典型的單一簽入環境,其中兩個企業 不需具有一直接、預先建立的關係,其定義了對於一使用 者如何傳送資訊及傳送哪些資訊。在一結盟環境中,個體 提供處理認證使用者之服務,接受由其它個體所呈現的認 證確立(例如認證代符),並提供某種形式的對使用者之擔 ® 保的識別之轉譯成為可在該本地個體内瞭解者。結盟可簡 :匕服務提供商的管理負擔。—服務提供商關於該結盟整體 可依賴其彳5任關係,該服務提供商不需要管理認證資訊, <列如使用者密碼資訊’因為其可依賴由一使用者的認證家 用領域或一識別提供商所完成的認證。 一結盟個體可做為一使用者家用領域,其提供關於結盟 的使用者之識別資訊與屬性資訊。在提供識別資訊、識別 或_设確立或識別服務之一結盟的運算環境中的一個體即 稱之為識別提供商。在相同結盟内其它個體或結盟夥伴 200942058 ❹ ❹ 可以依賴-使用者認證憑證之主要管理的一識別提供商, 例如接受由該使用者的識別提供商所提供的—單_簽人代 =i使用者於其中驗證之—領域可稱為該使用者的(認證) 豕用領域。一識別提供商為一特定種類的服務,其提供識 別資訊作為對於一結盟運算環境中的其它個體之服務^關 :大多數結盟的交易,一認證確立的發行方通常可為一識 別提供商;任何其它個體可與該識別提供商區別。在該結 盟的運算環境内提供一服務之任何其它個體可歸類成一服 務提供商。一旦一使用者已經認證到該識別提供商時,在 盟中其匕個體或企業可被視為僅為-給定結盟會期之 持續時間或一給定結盟的交易之服務提供商。 因此,在第1圖的内文中,信任代理人115(其可為信任 代理主機 '一信任代理主機伺服器或類似者)提供—信任服 務’其在一結盟中兩個個鱧之間或多個個體之中建立與維 持一信任關係。識別提供商/STS 102係關聯於該結盟;基 本上’其能夠接受及驗證許多不同認證憑證,其包括傳統 憑證(例如使用者名稱與密碼組合及Kerberos票證),p 結盟認證代符格式’其中包括由一第三方產生的認證: 符。識別提供商/STS可以允許接受一認證代符做為另—處 認證的證明。較佳地是,識別提供商/STS亦能夠處理屬性 代符或用於保全通訊會期或對話之代符,例如那些用於以 類似於SSL會期識別的方式管理會期資訊者。 在一結盟環境中單一簽入的典型方式需要一連接(連接 模式作業)。通常,無連接應用程式或功能不能夠用於— 17 200942058 基本上劉覽器式(或被動客戶端)ss〇方式 需要連接至該識別提供商來完成該結盟的協定。但是 根據本發明,因為在這些處理流程(做為辨識一使用者的一 ^份)中要交換的資訊之重要部份即為—代符(且較佳地是 :SSO代符),該行動裝置必須能夠同時在連接與無連接模 式中呈現(或代理人呈現)此代符。此需要該行動裝置能夠 2當無連接模式中產生—代符,或較佳地是該行動裝置擁 有一先前發行的代符,其可當在無連接模式中時視需要來 使用。為此目在此處較佳的方式巾,當-行動裝置被 開啟’且該使㈣認證到其識別提供商時(其可在該結盟環 境内或無該結盟環境),該行動裝置取得該長期代符,宜即 可用於在當該裝置於無連接模式中運作時進行—給定認 證。 此處所述之技術提供多種好處。最重要地是,上述的技 術使得-行崎置使用者取得認證以於無連接模式下運作 =行-給定作業。再者,因為該代符㈣地是由該識別 k供商/STS(或同等者)發行,其相對於在該裝置本身上產 生’該STS(或其它裝置)在一給定事件時可以取消該代符, 以防止該裝置存㈣無連接應用程式,或料進行該無連 接模式作業。此在防止-失竊行動裝置之未認證第三方之 使用時會相當有用。特別是,且根據本發明之另一特徵, 較佳地㈣STS在㈣—㈣者的行動裝置已經失竊或遺 失的通知時即取消該長期代符。此可確保該裝置不能夠用 於在無該授權較^之授權或同意之下進行無連接模式 18 200942058 下的一行動裝置輔助功能。 此處所述之主題意旨可採用整體的硬體具體實施例形 式’整體為軟體具體實施例或同時包含硬體及軟體元件之 具體實施例。在一較佳具體實施例中,本發明係實施成軟 體,其包括但不限於韌體、常駐軟體、微程式碼等。再者, 如上所述,本發明可採用可自一電腦可使用或電腦可讀取 媒體存取之電腦程式產品之形式,其提供程式碼來用於或
配合於一電腦或任何指令執行系統。為達本描述之目的, 一電腦可使用或電腦可讀取媒體可為任何裝置,其中可包 3、儲存、傳輸、傳遞或輸送由指令執行系統、設備或裝 置使用或配合使用的程式。該媒體可為電子、磁性、光學、 電磁、紅外線或半導體系統(或設備或裝置)或一傳遞媒 體。-電腦可讀取媒體之範例包括一半導體或固態記憶 體、磁帶、-可移除電腦磁片、—隨機存取記憶體(讀,
“Random access me_y”)、一唯讀記憶體(R0M “Read_only memory”)、一硬磁碟及一光碟μ。光碟片之現 今範例包括光碟片唯讀記憶體(CD-ROM)、光碟[讀取/ 寫入(CD-R/W)及 DVD。 :或多項之該等上述功能亦可實施成一服務。 當以上内容描述由太nn t丨 業的一特定順序時其=:= 替代具體眚“、’、J此順序為範例性,因為 替代具體實施例可以用不同順序執行該 作業,重疊某些作業或類似者。在本說明二= 定具體實施例代表所述的 > “、、到一給 ^具體實施例可以包括-特定特 19 200942058 徵、結構或特性,但每一個具 特徵、結構或特性。 1必然包括該特定 二1’當該系統之給定組件已經分別說明時,專業人士 程犬庠列:以級合或共享於給定指令、 式序列、編碼部份及類似者。 下在以上的發明_之後,我們所域㈣請專利範圍如 【圖式簡單說明】 為達到對於本發明及其好處的更為完整的瞭解,現在將 配口附屬圖面來參照以下說明其中: 第1圖料可實施本發明内容之行動環境; 第2圖說明可用於一廣域無線網路中的一行動裝置之 傳輸功能的組件; 第3圖為一代表性行動裝置; 眷 第4圖說明可用於一無線區域網路中的一行動裝置之 傳輸功能的組件; 第5圖說明根據本發明内容—識別提供商娜如何利 用一長期代符提供一行動裝置;及 第6圖為根據本發明内容當在一無連接模式下運作 時該行動裝置如何使用該長期代符來取得一給定認證之 傳訊圖。 【主要元件符號說明】 20 200942058
100 行 動 裝 置 務 節點 102 識 別 提供 商 300 行 動 裝 置 104 傳 輸 功 能 302 用 戶 識 別 模 組 108 第 _ 通 訊 頻道 304 行 動 設 備 110 内 部 應 用 程式 306 人 機 介 面 112 第 三 方 應 用程 式 308 介 面 114 安 全 代 符 服務 400 存 取 點 115 信 任 代 理 人 402 專 線 116 無 連 接 應 用程 式 404 乙 太 網 交 換 器 及 118 第 二 通 訊 頻道 路 由器 120 安 全 代 符 服務 406 專 線 200 行動 交 換 中心 500 行 動 裝 置 202 訪 客 位 置 暫存 器 502 識 別 提供 商 204 家庭 位 置 暫存 器 504 傳輸 功 能 206 基 地 台 505 長 期 代 符 208 基 地 台 控 制器 600 行 動 裝 置 210 封 包 控 制 XtO 一 早兀 602 識 別 提供 商 212 提供 GPRS服務 604 無 連 接 應 用 程 式 節 點 606 安 全 代 符 服 務 214 閘 道 器 GPRS 服 608 信 任 代 理 人 21
Claims (1)
- 200942058 七、申請專利範圍: 1. 2. ❷ 5. 6. -種使得—行動裝置使用者執行—行動震置輔助的 作業之方法,該方法包含以下步驟: =動裝置處接收一代符—其可用於在 :H無連接模式下運作時取得 。當該行動裝置在該無連接模式下運作時,提出該 代符來取得該認證;及 β 在接收該認證時,執行該行動裝置輔助的作 如申請專利範圍第i項所述之方、 v 头千該行動奘筈 ==裝置不能夠存取一識別提供商時在該無 連接模式下運作。 如申請專利範圍第2項所述之方法 可存取-網路提供商。 其中該仃動震置 如申請專利範圍第1項所述之方法, 單-簽MSSO)代符。 其中該代符為一 2請專利範㈣2項所述之方m該sso代 符係關聯於一結盟的運算環境單一簽入(F sso) :申:專利範圍第1項所述之方法,另包…步 称·在一給定事件時取消該代符。 =專利範圍第!項所述之方法,其中該代符由該 灯動裝置呈現給一給定應用程式。 =申請專利範圍第丨項所述之方法,其中提出該代符 來取得該認證之步驟亦驗證關聯於該代符之一數位 22 200942058 簽章。 9. 如申請專利範圍第1項所述之方法,其中提出該代符 來取得該認證之步驟亦驗證該行動裝置在該無連接 模式下運作。 10. 如申請專利範圍第1項所述之方法其中該代符由一 發行裝置所產生。 u.—種使用一行動裝置來使得一行動裝置使用者執行 一行動裝置輔助的作業之方法,該方法包含以下步 ^ 驟: 利用在一第一操作模式下的該行動裝置’於該行 動裝置處接收及儲存一資料字串,該資料字串可用於 取得該行動裝置使用者之一認證;及 利用在與該第一操作模式不同的一第二操作模 式下的該行動裝置’使得該行動裝置呈現該資料字串 到一應用程式來嘗試取得該認證; _ 在取得該認證時,及利用在該第二操作模式下的 該行動裝置,使用該應用程式執行該行動裝置輔助的 作業。 12·如申請專利範圍帛n項所述之方法,其中該第二操 作模式為一該行動裝置不能夠存取一識別提供商的 模式。 13‘如中請專利範圍第12項所述之方法’其中該行動裳 置在當該行動裝置在該第二操作模式下運作時即可 存取一網路提供商β 23 200942058 14.如申請專利範圍第u所述之方法,其中該資料字串 為一安全代符。 15·如申請專利範圍第14項所述之方法,其中該安全代 符致能一單一簽入作業。 16. 如申請專利範圍第11所述之方法,其中該認證包括 以下步驟:驗證該資料字串。 17. —種使用一行動裝置來使得一行動裝置使用者執行 一行動裝置輔助的作業之方法’該方法包含以下步 ❹ 驟: 於該行動裝置處接收及儲存一代符,該代符可用 於確立關聯於該行動裝置使用者之一識別或權利;及 利用在一識別提供商無連接操作模式下的該行 動裝置’呈現該代符到一應用程式來使得該行動裝置 使用者使用該應用程式執行該行動裝置輔助的作業。 18·如申請專利範圍第17項所述之方法,另包含以下步 ❿驟: 在一給定事件時取消該代符。 19. 一種行動裝置,該裝置包含: 一無線電; 一人機介面;一網路介面; 一處理器; 一電腦可讀取媒體,其具有處理器可執行指令來 執行下列方法步驟: 接收及儲存可用於確立關聯於該行動裝置 24 200942058 的一使用者之一識別或權利的一代符;及 利用在一識別提供商無連接操作模式下的 該行動裝置,呈現該代符來使得該行動裝置使用 者執行一行動裝置輔助的作業。 20. —種具有一關聯的代符發行裝置之存取控制系統,該 系統包含: 一應用程式;及 在一行動裝置中可執行的軟體,其在當該行動裝置於一第一操作模式下運作時可接收一代符,並儲存 在該行動裝置中,其中該代符由該代符發行裝置產 生’並可用於取得一行動裝置使用者之一認證; 該軟體另可以執行來在當該行動裝置在一無連 接操作模式下運作時可呈現該代符來嘗試取得該認 證; 該軟體可進一步在取得該認證時執行,且利用在 該無連接操作模式下的該行動裝置,以使得該行動裝 置使用者執行一行動裝置輔助的作業。 25
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/029,006 US8782759B2 (en) | 2008-02-11 | 2008-02-11 | Identification and access control of users in a disconnected mode environment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW200942058A true TW200942058A (en) | 2009-10-01 |
Family
ID=40584750
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW098104063A TW200942058A (en) | 2008-02-11 | 2009-02-09 | Identification and access control of users in a disconnected mode environment |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8782759B2 (zh) |
| TW (1) | TW200942058A (zh) |
| WO (1) | WO2009100969A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI469656B (zh) * | 2012-02-10 | 2015-01-11 | Apple Inc | 用於校正與身份佈建相關聯的錯誤事件之方法與裝置 |
| TWI614630B (zh) * | 2013-10-14 | 2018-02-11 | Alibaba Group Services Ltd | 客戶端應用的登錄方法及其相應的伺服器 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8359278B2 (en) | 2006-10-25 | 2013-01-22 | IndentityTruth, Inc. | Identity protection |
| JP2013503514A (ja) * | 2009-08-31 | 2013-01-31 | 中国移▲動▼通信集▲団▼公司 | Wlanアクセス認証に基づくサービスアクセス方法、システム及び装置 |
| US8522335B2 (en) * | 2009-12-01 | 2013-08-27 | International Business Machines Corporation | Token mediation service in a data management system |
| US9043891B2 (en) * | 2010-02-18 | 2015-05-26 | Microsoft Technology Licensiing, LLC | Preserving privacy with digital identities |
| US9652802B1 (en) | 2010-03-24 | 2017-05-16 | Consumerinfo.Com, Inc. | Indirect monitoring and reporting of a user's credit data |
| GB2479916A (en) * | 2010-04-29 | 2011-11-02 | Nec Corp | Access rights management of locally held data based on network connection status of mobile device |
| US9235728B2 (en) | 2011-02-18 | 2016-01-12 | Csidentity Corporation | System and methods for identifying compromised personally identifiable information on the internet |
| US8875269B2 (en) * | 2011-02-23 | 2014-10-28 | International Business Machines Corporation | User initiated and controlled identity federation establishment and revocation mechanism |
| US8819793B2 (en) | 2011-09-20 | 2014-08-26 | Csidentity Corporation | Systems and methods for secure and efficient enrollment into a federation which utilizes a biometric repository |
| US11030562B1 (en) | 2011-10-31 | 2021-06-08 | Consumerinfo.Com, Inc. | Pre-data breach monitoring |
| US9264433B2 (en) | 2012-03-27 | 2016-02-16 | Intel Corporation | Secure and automatic connection to wireless network |
| US9262623B2 (en) | 2012-08-22 | 2016-02-16 | Mcafee, Inc. | Anonymous shipment brokering |
| US9268933B2 (en) * | 2012-08-22 | 2016-02-23 | Mcafee, Inc. | Privacy broker |
| US9690925B1 (en) * | 2012-08-30 | 2017-06-27 | Symantec Corporation | Consumption control of protected cloud resources by open authentication-based applications in end user devices |
| US20140067628A1 (en) * | 2012-08-30 | 2014-03-06 | Honda Motor Co., Ltd. | Computerized system and method for parts packaging management |
| US20140223514A1 (en) | 2013-02-01 | 2014-08-07 | Junaid Islam | Network Client Software and System Validation |
| US8812387B1 (en) | 2013-03-14 | 2014-08-19 | Csidentity Corporation | System and method for identifying related credit inquiries |
| US9407638B2 (en) * | 2013-08-26 | 2016-08-02 | The Boeing Company | System and method for trusted mobile communications |
| GB2522005A (en) * | 2013-11-26 | 2015-07-15 | Vodafone Ip Licensing Ltd | Mobile WiFi |
| US9344439B2 (en) | 2014-01-20 | 2016-05-17 | The Boeing Company | Executing unprotected mode services in a protected mode environment |
| US9548976B2 (en) * | 2014-05-06 | 2017-01-17 | Okta, Inc. | Facilitating single sign-on to software applications |
| US10339527B1 (en) | 2014-10-31 | 2019-07-02 | Experian Information Solutions, Inc. | System and architecture for electronic fraud detection |
| US11151468B1 (en) | 2015-07-02 | 2021-10-19 | Experian Information Solutions, Inc. | Behavior analysis using distributed representations of event data |
| US10469262B1 (en) | 2016-01-27 | 2019-11-05 | Verizon Patent ad Licensing Inc. | Methods and systems for network security using a cryptographic firewall |
| US10554480B2 (en) | 2017-05-11 | 2020-02-04 | Verizon Patent And Licensing Inc. | Systems and methods for maintaining communication links |
| US10470040B2 (en) | 2017-08-27 | 2019-11-05 | Okta, Inc. | Secure single sign-on to software applications |
| US10699028B1 (en) | 2017-09-28 | 2020-06-30 | Csidentity Corporation | Identity security architecture systems and methods |
| US10896472B1 (en) | 2017-11-14 | 2021-01-19 | Csidentity Corporation | Security and identity verification system and architecture |
| US11270288B2 (en) * | 2017-12-19 | 2022-03-08 | International Business Machines Corporation | System and method for automatic device connection following a contactless payment transaction |
| US11645375B2 (en) * | 2018-09-27 | 2023-05-09 | International Business Machines Corporation | Authorization of resource access |
| US11811928B2 (en) * | 2019-09-10 | 2023-11-07 | Fulcrum Global Technologies Inc. | System and method for secure access to legacy data via a single sign-on infrastructure |
| US11382159B2 (en) * | 2020-03-10 | 2022-07-05 | International Business Machines Corporation | Temporary emergency access to arbitrary network for medical implanted device |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6247127B1 (en) | 1997-12-19 | 2001-06-12 | Entrust Technologies Ltd. | Method and apparatus for providing off-line secure communications |
| US6886095B1 (en) * | 1999-05-21 | 2005-04-26 | International Business Machines Corporation | Method and apparatus for efficiently initializing secure communications among wireless devices |
| US6980660B1 (en) * | 1999-05-21 | 2005-12-27 | International Business Machines Corporation | Method and apparatus for efficiently initializing mobile wireless devices |
| US7131006B1 (en) * | 1999-11-15 | 2006-10-31 | Verizon Laboratories Inc. | Cryptographic techniques for a communications network |
| US7266840B2 (en) | 2001-07-12 | 2007-09-04 | Vignette Corporation | Method and system for secure, authorized e-mail based transactions |
| US7058181B2 (en) | 2001-08-02 | 2006-06-06 | Senforce Technologies, Inc. | Wireless bridge for roaming in network environment |
| US7373515B2 (en) * | 2001-10-09 | 2008-05-13 | Wireless Key Identification Systems, Inc. | Multi-factor authentication system |
| AU2003209194A1 (en) * | 2002-01-08 | 2003-07-24 | Seven Networks, Inc. | Secure transport for mobile communication network |
| JP2004040717A (ja) * | 2002-07-08 | 2004-02-05 | Matsushita Electric Ind Co Ltd | 機器認証システム |
| US7606560B2 (en) * | 2002-08-08 | 2009-10-20 | Fujitsu Limited | Authentication services using mobile device |
| JP4553565B2 (ja) * | 2002-08-26 | 2010-09-29 | パナソニック株式会社 | 電子バリューの認証方式と認証システムと装置 |
| US8468126B2 (en) * | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
| DE10303264A1 (de) | 2003-01-28 | 2004-08-12 | Siemens Ag | Verfahren und Einrichtung zur Steuerung eines Zugangs zu einem Kommunikationsnetz |
| US20060179305A1 (en) * | 2004-03-11 | 2006-08-10 | Junbiao Zhang | WLAN session management techniques with secure rekeying and logoff |
| US7822983B2 (en) * | 2003-08-21 | 2010-10-26 | Microsoft Corporation | Physical device bonding |
| EP2184934B1 (en) * | 2003-12-29 | 2012-12-05 | Telefonaktiebolaget L M Ericsson (PUBL) | Method and apparatuses for single sign-on access to a service network through an access network |
| US9281945B2 (en) | 2003-12-30 | 2016-03-08 | Entrust, Inc. | Offline methods for authentication in a client/server authentication system |
| WO2005107143A1 (en) * | 2004-04-30 | 2005-11-10 | Research In Motion Limited | System and method for administering digital certificate checking |
| ATE451806T1 (de) * | 2004-05-24 | 2009-12-15 | Computer Ass Think Inc | System und verfahren zum automatischen konfigurieren eines mobilen geräts |
| US20060002556A1 (en) | 2004-06-30 | 2006-01-05 | Microsoft Corporation | Secure certificate enrollment of device over a cellular network |
| US7512987B2 (en) * | 2004-12-03 | 2009-03-31 | Motion Picture Association Of America | Adaptive digital rights management system for plural device domains |
| CA2513019A1 (en) * | 2005-07-22 | 2007-01-22 | Research In Motion Limited | A method for communicating state information between a server and a mobile device browser with version handling |
| GB0518963D0 (en) * | 2005-09-16 | 2005-10-26 | Eagle Eye Solutions Ltd | Transaction apparatus,systems and methods |
| US8290433B2 (en) * | 2007-11-14 | 2012-10-16 | Blaze Mobile, Inc. | Method and system for securing transactions made through a mobile communication device |
| KR101009330B1 (ko) * | 2006-01-24 | 2011-01-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 |
| US9137012B2 (en) * | 2006-02-03 | 2015-09-15 | Emc Corporation | Wireless authentication methods and apparatus |
| US8364968B2 (en) * | 2006-05-19 | 2013-01-29 | Symantec Corporation | Dynamic web services systems and method for use of personal trusted devices and identity tokens |
| NZ547903A (en) * | 2006-06-14 | 2008-03-28 | Fronde Anywhere Ltd | A method of generating an authentication token and a method of authenticating an online transaction |
| JP5205380B2 (ja) * | 2006-08-22 | 2013-06-05 | インターデイジタル テクノロジー コーポレーション | アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置 |
| KR100816560B1 (ko) * | 2006-12-05 | 2008-03-25 | 한국정보보호진흥원 | 모바일 멀티캐스트 방송 보안을 위한 대리인증 방법 |
| WO2008156392A1 (en) * | 2007-06-18 | 2008-12-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Security for software defined radio terminals |
| US8260262B2 (en) * | 2009-06-22 | 2012-09-04 | Mourad Ben Ayed | Systems for three factor authentication challenge |
-
2008
- 2008-02-11 US US12/029,006 patent/US8782759B2/en not_active Expired - Fee Related
-
2009
- 2009-01-21 WO PCT/EP2009/050629 patent/WO2009100969A1/en active Application Filing
- 2009-02-09 TW TW098104063A patent/TW200942058A/zh unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI469656B (zh) * | 2012-02-10 | 2015-01-11 | Apple Inc | 用於校正與身份佈建相關聯的錯誤事件之方法與裝置 |
| TWI614630B (zh) * | 2013-10-14 | 2018-02-11 | Alibaba Group Services Ltd | 客戶端應用的登錄方法及其相應的伺服器 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090205032A1 (en) | 2009-08-13 |
| US8782759B2 (en) | 2014-07-15 |
| WO2009100969A1 (en) | 2009-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW200942058A (en) | Identification and access control of users in a disconnected mode environment | |
| US9432359B2 (en) | Registration and network access control | |
| US9800586B2 (en) | Secure identity federation for non-federated systems | |
| US8201232B2 (en) | Authentication, identity, and service management for computing and communication systems | |
| WO2018041078A1 (zh) | 一种认证方法、系统及代理服务器、计算机存储介质 | |
| US7996888B2 (en) | Virtual identity apparatus and method for using same | |
| EP2005643B1 (en) | Authentication service for facilitating access to services | |
| US7941831B2 (en) | Dynamic update of authentication information | |
| US7240362B2 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
| TW201224775A (en) | Dynamic account creation with secured hotspot network | |
| US20060135155A1 (en) | Method for roaming authentication in public wireless LAN | |
| KR20130109322A (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
| Sabadello et al. | Introduction to did auth | |
| CN102083066B (zh) | 统一安全认证的方法和系统 | |
| TWI357752B (en) | Network user id verification system and method | |
| US8307411B2 (en) | Generic framework for EAP | |
| US20210090087A1 (en) | Methods for access point systems and payment systems therefor | |
| Chowdhury et al. | Distributed identity for secure service interaction | |
| KR101490549B1 (ko) | 웹 광고 서비스를 위한 무선 인터넷 접속 인증 방법 | |
| WO2024078692A1 (en) | Secure provisioning of fido credential | |
| CN117177205A (zh) | 业务授权方法、装置、网络功能及存储介质 | |
| Chowdhury et al. | Integrated identity mechanism for ubiquitous service access | |
| Schuba et al. | Internet id-flexible re-use of mobile phone authentication security for service access | |
| Ubisafe et al. | Unifying CardSpace and Liberty Alliance with SIM Authentication | |
| ITRM20010039A1 (it) | Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici. |